Blog de Spaceship

Las diferentes caras de las amenazas por correo electrónico

Actualizado el
15 min de lectura

Las estafas por correo electrónico vienen en todas las formas y tamaños. Algunas son tan obvias que dan risa: no se ha hecho ningún esfuerzo por disfrazar la estafa.

Pero no pienses que todas son así. Las estafas por correo electrónico parecen volverse cada vez más astutas y creativas. Estas son del tipo que incluso la persona más experta en computadoras de la generación Z, que creció durmiendo sobre un iPad, miraría dos veces antes de darse cuenta. De no ser tan diabólicas, hasta podrías dar un paso atrás y admirar el enfoque. Vamos a mostrarte cómo reconocer el phishing y otras estafas comunes por correo electrónico, y cómo protegerte de ellas.

Un rápido viaje al pasado

Muchos recordamos los primeros días de las estafas por correo electrónico: días dorados en los que éramos más ingenuos, pero también desconfiábamos más de los correos. Cuando recibíamos una estafa, la leíamos con interés confundido, tratando de entender por qué el remitente pensaría que nosotros éramos la persona adecuada a quien acudir para pedir ayuda.

¿Quién recuerda The Spanish Prisoner? Un alma desafortunada de gran riqueza, que necesitaba desesperadamente que le ayudáramos a pagar su rescate para poder salir de prisión. Curiosamente, esta estafa en realidad es anterior al correo electrónico, ya que se originó a principios del siglo XIX. Evidentemente, algún intrépido navegante de Internet decidió digitalizarla.

Hoy en día, las estafas por correo electrónico aprovechan mucho más las fortalezas de su formato digital. A diferencia de algunas de las estafas OG, utilizan ventajas que Internet ha llegado a ofrecer con los años — como la capacidad de procesar pagos en línea fácilmente, una mayor dependencia del correo electrónico para nuestras comunicaciones más importantes y la evolución de las redes sociales, por mencionar solo algunas.

Señales de una estafa, desde el principio

Antes de analizar más de cerca los diferentes tipos de estafas por correo electrónico, vamos a compartir algunas reglas generales que puedes usar para ayudarte a identificar una estafa/spam por correo electrónico, porque todas comparten elementos comunes: un remitente, una línea de asunto, texto del cuerpo y, quizá lo más importante, la necesidad de ser leído y creído.

Nombre de la empresa/remitente

Pon atención a:

  1. Errores tipográficos o estilización incorrecta — Paypal vs. PayPal.

  2. Algo que se siente demasiado descriptivo o poco probable — AA Car Emergency vs. AA.

  3. Empresas con las que no compras o tratas — Una nota de Barclays cuando tu banco es Lloyds.

  4. Cualquier cosa que parezca extraña — Desde símbolos y empresas con nombres rarísimos, hasta espacios extraños — a veces hay algo en el remitente que simplemente se siente mal.

Dirección de correo del remitente

Pon atención a:

  1. Una dirección de correo incongruente — Algo que no coincide con el nombre de la empresa.

  2. Imitaciones — Una dirección diseñada para parecerse a la empresa real. Esto podría ser el dominio (@paypalcare.com) o el TLD (@paypal.club).

  3. Errores— Errores tipográficos u otras irregularidades en la dirección.

Líneas de asunto

Pon atención a:

  1. Frases diseñadas para provocar urgencia — ‘Advertencia: aviso final de pago’.

  2. Lenguaje que promete demasiado — ‘Gana £1000 en cinco minutos’.

  3. Lenguaje que provoca una fuerte reacción emocional — ‘¡Estás contratado! ¡Empieza mañana!’

  4. Errores tipográficos — Los estafadores no son conocidos por su buena gramática.

  5. Uso excesivo de puntuación o emojis — Pocas empresas reales usan esto.

  6. La presencia de ‘Re’ — Puede usarse para sugerir que ya respondiste antes cuando no fue así.

  7. Botones y archivos adjuntos— Evita siempre hacer clic en botones o descargar archivos adjuntos en correos sospechosos.

Texto del cuerpo

Pon atención a:

  1. Promesas increíbles— Similar a la versión de la línea de asunto, pero en el cuerpo del texto hay espacio para ampliar, lo que da la oportunidad de hacer las mentiras más convincentes.

  2. Llamados a la acción que buscan información personal — Especialmente dirección o datos de tarjeta.

  3. Referencias a cosas que no recuerdas— Desde eventos hasta servicios que nunca recibiste

  4. Suplantación de identidad— Alguien que afirma ser un amigo o familiar, pero no suena como esa persona.

Ahora que ya tienes algo de contexto sobre cómo los estafadores pueden manipular distintas partes de un correo electrónico, examinemos ejemplos específicos.

Malware

Para muchos, los ataques de malware probablemente fueron el primer tipo de correo malicioso que realmente temimos. En aquel entonces, probablemente solo nos referíamos a ellos como virus por correo electrónico. Lo abres, tu pantalla se pone negra. Fin del juego. Ese tipo de cosas.

En realidad, el malware abarca una amplia variedad de ataques maliciosos — y algunos de ellos son, francamente, bastante más aterradores que una rápida muerte de la computadora.

¿Monitorear pulsaciones del teclado? ¿Consumir tu CPU sin que lo sepas? ¿Espiarte? ¿Forzar anuncios sospechosos a aparecer cada cinco minutos? Sí, el malware abarca una amplia variedad de pequeños programas que se incrustan en tu computadora sin que lo sepas, y sus funciones van desde cosas asociadas con bromistas malintencionados hasta criminales de tiempo completo. Son evasivos y, a menudo, difíciles de eliminar — eso si sabes que están ahí.

Cómo detectar malware

Si estás experimentando alguno de los síntomas mencionados arriba, hay una buena probabilidad de que sea malware. Esto pudo haber venido de un correo electrónico, pero no necesariamente. Hay otras formas en que estos programas pueden incrustarse en tu computadora también: descargas, sitios web sospechosos e incluso dispositivos de hardware maliciosos. Si alguna vez encuentras una memoria USB en la calle, no revises qué tiene.

Protégete del malware

A riesgo de decir lo obvio, prueba un software de detección de malware. Pero elige algo confiable.

Si buscas en Google cómo prevenir el malware desde el principio, el principal consejo es instalar software antivirus. Personalmente, no conozco a nadie que haya hecho esto desde finales de la década de 2010, pero ¿quién soy yo para contradecir la totalidad del conocimiento humano y la experiencia masiva homogeneizada en una respuesta de una sola línea de Gemini, servida en una fracción defracción de segundo?

Dicho eso, la protección contra amenazas que ofrecen los sistemas operativos en general es mejor que en los primeros días, especialmente Windows se actualiza para proteger contra amenazas, pero más importante aún, mucho software de correo electrónico está haciendo el trabajo por nosotros, al filtrar correos sospechosos antes de que nos lleguen.

Es buena idea encontrar un proveedor de correo electrónico que promueva una buena protección contra malware y escanee tus correos antes de que te lleguen. Esto es particularmente útil cuando se trata de evitar ataques psicológicos (y hablaremos de esos en un momento).

Si hablamos de protección, en lugar de prevención, es buena idea mantener respaldos regulares, en caso de que seas víctima de uno de estos ataques. Personalmente recomiendo algo como Mega Sync, que se actualiza cada vez que guardas un archivo.

Phishing

Hoy en día, lo más probable es que te encuentres con una estafa de phishing por correo electrónico. ¿Por qué? Porque, como una melodía pegajosa o el olor de la primavera, todos somos susceptibles a sus encantos. Pero ¿cómo puedes identificar el phishing?

Los ataques de phishing son efectivos por su versatilidad. A veces no es difícil detectar el phishing. Pueden ser cualquier cosa: literalmente cualquier cosa que haga que alguien introduzca sus datos personales. Piensa en cualquier razón por la que podrías sentirte obligado a compartir tus datos personales o enviarle dinero a alguien, y eso tiene el potencial de convertirse en un correo de phishing.

Aquí tienes solo algunos ejemplos y ten en cuenta que la clave del phishing es que todos estos correos parecen reales, pero son falsos:

  1. Notificación de restablecimiento de contraseña.

  2. Completa los datos bancarios faltantes.

  3. Completa tu dirección postal para habilitar la entrega.

  4. Renueva tu suscripción.

  5. ¡Eres ganador de un concurso!

  6. Un amigo necesitado pidiendo ayuda.

  7. Notificación de reembolso de impuestos.

  8. Solicitud de donaciones benéficas.

Si no has visto una estafa de phishing, ¿acaso eres un pez? Son tan ubicuas que es difícil imaginar el correo electrónico sin ellas. Pero hay más de una forma de pescar…

Spear phishing y whaling

El spear phishing y el whaling se dirigen a personas específicas, a menudo con tácticas más agresivas.

El spear phishing utiliza conocimiento personal, normalmente obtenido de varias fuentes, para crear correos más convincentes. Como está escrito usando información personal, podría hacer referencia a amigos reales, situaciones reales o incluso suplantar a un banco (etc.) de forma más convincente. Si piensas que esto parece poco probable que te pase, ten en cuenta que la mayoría de las personas tienen más información públicamente accesible en línea de la que creen.

Si alguien se hiciera pasar por tu amigo y mencionara un evento muy específico al que ambos asistieron hace una década, ¿por qué no lo creerías? Podría tomar un tiempo recordar que publicaste sobre ello en detalle en Facebook y que la publicación es visible públicamente. Cuando te pida dinero prestado, quizá le echarías una mano.

Todos somos susceptibles al spear phishing, lo que lo hace más peligroso que las estafas más obvias. Una salvedad afortunada es que el nivel de investigación necesario para llevar a cabo con éxito una estafa de spear phishing resulta desalentador para la mayoría de los estafadores. Les resulta más fácil apostar por un correo masivo al que menos personas responderán. Pero ¿será ahí donde la IA entre en juego en el futuro? Necesitamos mantenernos alerta.

Whaling

Entonces, ¿qué es el whaling? Bueno, en muchos sentidos, un ataque de whaling es prácticamente lo mismo que el spear phishing, pero se enfoca específicamente en personas adineradas, como los directores ejecutivos.

La triste realidad es que su estatus hace que valga más la pena invertir tiempo en ellos como objetivos y que otros factores (como su riqueza, responsabilidad, falta de tiempo y amplia red de contactos) impliquen varias debilidades potenciales que explotar. Por ejemplo, quizá solo necesiten convencer a un asistente personal o secretario de que cuentan con el sello de aprobación del CEO. Así que parece que el whaling comercial siempre es algo malo.

Cómo protegerte contra el spear phishing y el whaling

Más allá de lo que aparece en nuestra guía general anterior, también deberías configurar un filtrado de spam sólido. El factor humano es realmente donde brillan los correos de phishing. Si el malware es un truco simple, entonces, en cierto nivel, el phishing requiere que seamos cómplices. Después de todo, debemos entregar nuestra información. Como hemos comentado, lo logra apelando a nuestra respuesta emocional.

Así que asegurarnos de no entrar nunca en contacto con ello en primer lugar es la forma más fuerte de combatirlo. Los filtros de spam buscan múltiples elementos al evaluar un correo que nosotros, como humanos, no podemos. Hacen referencias cruzadas con listas negras, patrones de comportamiento conocidos e incluso un método conocido como filtrado bayesiano. Esto compara el contenido de un correo con spam conocido frente a correos legítimos para calcular la probabilidad de que sea spam. Además, los buenos filtros de spam tomarán en cuenta lo que otros usuarios marcan como spam, creando lo que se conoce como un ciclo de retroalimentación del usuario.

Correo electrónico empresarial comprometido

Ligeramente diferente de todo lo que hemos visto hasta ahora, esto viene desde el ángulo opuesto: la idea de que una cuenta de correo electrónico legítima ha sido comprometida. No tiene que ser una cuenta empresarial, pero para fines de esta entrada, hay algunos factores más interesantes de los que hablar si imaginamos que lo es.

Si un estafador puede obtener acceso ilegalmente a una cuenta de correo electrónico empresarial, puede hacerse pasar por empleados para solicitar fondos o incluso acceder a otros sistemas internos que podrían incluir datos sensibles.

Comprometer una cuenta empresarial también aprovecha otra peculiaridad social inherente a muchas empresas, particularmente las grandes: es poco probable que todos los miembros del personal conozcan a todos los demás. Esto, combinado con el hecho de que se espera que la gente sea cortés dentro de un entorno laboral, significa que estos correos tienen ventajas adicionales en comparación con las cuentas privadas.

Cómo protegerte contra esto

Asegurarte de que todos los empleados usen autenticación de dos factores (email 2FA) y elijan contraseñas seguras reduce enormemente el riesgo de cuentas robadas/hackeadas. La 2FA garantiza que el titular de la cuenta siempre sabrá si alguien intenta entrar, y una contraseña segura dificulta los ataques de fuerza bruta.

También puedes disminuir la probabilidad de problemas futuros desactivando de inmediato las cuentas de los empleados que dejan la empresa. Un cementerio de cuentas en desuso acumulando polvo es simplemente un accidente esperando ocurrir.

Facturas falsas

Uno de los temas que quizá estés notando es la explotación de diferentes extremos emocionales. Hasta ahora hemos considerado el miedo o descuido de un CEO y la supuesta apatía de un empleado hacia otro. Ahora probemos con el enojo.

Alguien afirma que le debes dinero y exige un pago inmediato. Está enojado, dice cosas que te hacen dudar de tu propia memoria o crea una situación de la que no puedes estar seguro de que no sea real. La bilis y el enojo continúan hasta que casi parece más fácil pagarle.

Puede que esto no parezca tan probable para muchos de nosotros, pero quizá eso sea lo peor: lo más probable es que ‘nosotros’ no seamos sus objetivos. Su éxito estará en las personas vulnerables. Aquellas que quizá realmente no pueden recordar o que confían más en los extraños.

Prevención

Si asumimos que nosotros no pagaremos facturas aleatorias que recibimos por correo electrónico, quizá valga la pena aprovechar esta oportunidad para sugerir hablar con las personas en tu vida que tienen menos experiencia en línea. Pregúntales si necesitan ayuda para identificar estafas y explícales que solo porque alguien esté exigiendo dinero no significa que su reclamo sea legítimo. Después de todo, debemos cuidarnos unos a otros y nadie quiere ver a alguien caer de lleno en una estafa obvia.

Hay recursos a los que puedes orientar a las personas que pueden guiarlas de una manera fácil de usar.

Estafas de ofertas de trabajo

A diferencia de algunas de las otras, estas pueden ser difíciles de detectar incluso para los más experimentados. Una razón es que no existen en el vacío del correo electrónico. Si cualquiera de nosotros recibiera un correo de la nada diciendo que consiguió un trabajo, sabríamos de inmediato que es spam. Pero ¿y si no fue así como ocurrió?

¿Y si la estafa comenzó como una vacante real en un sitio de empleo real? Te postulaste a ella junto con un montón de otros trabajos reales y parecía tan probable como todos los demás. Bueno, entonces este es un correo que estás esperando — deseando, incluso. Y, al igual que el spear phishing, esto crea una oportunidad más elaborada para una estafa. Porque ahora eres un participante voluntario, al menos al principio.

¿Pero en qué? Estas estafas pueden adoptar innumerables formas, pero esencialmente, como los antiguos esquemas piramidales del pasado, piden dinero por adelantado con el pretexto de cubrir costos, comprar equipo o incluso capacitación para el puesto, y nada de eso es real. A veces, incluso podría haber otras personas dentro del sistema que también crean que es real, y eso puede sugerir legitimidad donde no la hay.

Cómo detectar una estafa de oferta de trabajo

Hay ciertas señales a las que puedes prestar atención cuando estás solicitando empleo y que podrían indicar que el trabajo no es legítimo:

  1. Salarios poco realistas — Si algo parece demasiado bueno para ser verdad, probablemente lo sea.

  2. Trabajos vagos o improbables — ¿De verdad alguien necesitaría o querría que alguien desempeñara este puesto?

  3. No se necesitan entrevistas — O una oferta de trabajo ansiosa sin la debida diligencia.

  4. Comunicaciones poco profesionales — Solicitan más datos de los que deberían ser necesarios.

  5. Falta de presencia en línea de la empresa — O una empresa cuyo sitio web se ve un poco sospechoso. Imágenes de stock, reseñas poco plausibles, sin contenido real — ese tipo de cosas.

Igualmente, no querrás descartar trabajos legítimos solo por una vacante mal elaborada. Así que lo principal a lo que debes prestar atención es a cualquiera que pida dinero antes de que empieces. Casi no hay ningún caso en el que un trabajo deba requerirte pagar algo por adelantado, y mucho menos realizar tareas gratis.

Por muy seguro que estés del proceso hasta ese momento, en cuanto la conversación gire hacia transferir dinero, ten la certeza de que es una estafa.

Estafas románticas

Podría decirse que es la manipulación emocional más fuerte de todas: cómo nos sentimos cuando estamos enamorados.

Tengo experiencia personal de alguien en una app de citas que pidió dinero prestado (que es donde este tipo de estafa es más probable que ocurra hoy en día). No es tan poco común como podrías pensar — y en algunos casos, incluso podríamos tener dificultades para pensar en ello como una estafa…

Los límites se desdibujan rápidamente cuando el corazón empieza a mandar sobre la cabeza. Tal vez una parte de nosotros incluso piense: “quizá me están viendo la cara, pero ¿qué son diez libras cuando se trata del amor?”. Pero esa persona podría pasarse todo el día en la app de citas. Si consigue que diez personas al día le donen diez libras, en realidad no es un mal sueldo. Y sin duda se clasificaría como una estafa.

Cómo evitar enamorarte de una estafa romántica

A riesgo de sonar como consejera sentimental, no te dejes llevar por el corazón. Si tu cabeza te dice que es una estafa, probablemente lo sea. Nunca le des dinero a alguien que no conoces bien, por mucho que diga amarte. Es una triste realidad de la vida que la gente use los extremos de la emoción para manipular.

Estafas de premios

La mayoría probablemente recordamos haber recibido un volante por correo diciendo que habíamos ganado la lotería y que teníamos que llamar a un número para reclamar el premio. Supongo que era inevitable que esto también se convirtiera en un correo electrónico.

No hay mucho más que decir aquí que no se haya dicho en las otras entradas. Quizá simplemente podamos crear un mantra para la vida. Si un correo electrónico dice que ganaste un premio, no ganaste un premio*.

*A menos que hayas ganado un premio. Pero definitivamente no ganaste un premio. Deja de pensar en el premio.

Prevención

Mira, de verdad, de verdad no ganaste un premio. Compra un boleto de lotería si quieres — pero presiona ese botón de spam.

Protegerte a ti y a los demás

Hablando en serio, ya sea spam o estafa, realmente no es motivo de risa. La gente de verdad sale lastimada, pierde dinero o se siente tonta después.

Hemos sugerido varias formas de protegerte, pero en realidad todo se reduce a tres cosas:

  • Activa toda la seguridad que puedas

Lo que sea que ofrezca tu proveedor, ya sea 2FA, contraseñas generadas automáticamente o incluso cifrado — como sea. Configúralo. Solo hace que tu cuenta sea un poco más difícil de secuestrar.

  • Elige un proveedor con enfoque en la seguridad

Un proveedor con software sólido de gestión de spam y actualizaciones frecuentes de seguridad probablemente sea tu mejor forma de protección continua como empresa. La mayoría de las estafas que hemos descrito empiezan y terminan con la gestión del spam. Si nunca las vemos, nunca serán un problema.

  • Mantente al tanto

Las estafas de phishing nunca dejan de evolucionar. Te atacan a ti, no a tu bandeja de entrada, así que tú eres tu mejor defensa.

¿Hay alguna práctica que uses para evitar caer en spam y estafas? ¡Nos encantaría conocerla! Deja cualquier opinión o pregunta en la sección de comentarios de abajo

Preguntas frecuentes

El phishing consiste básicamente en enviar correos electrónicos haciéndose pasar por otra persona (normalmente una empresa) para lograr que el destinatario realice una acción. Por lo general, las acciones implican enviar dinero, datos de tarjetas u otros datos sensibles.

El whaling se dirige a una persona específica con un patrimonio más alto. Un director general de una empresa o alguien similar. Crear un correo electrónico a medida específicamente para atacar a una sola persona se considera rentable debido al potencial de obtener una ganancia neta mayor.

En general, busca direcciones de correo electrónico que no coincidan con la empresa de la que dicen provenir, formato descuidado, errores tipográficos y URL diseñadas para parecer similares pero que no son reales (joe@paypal-us.com).

Un buen filtro de spam te protegerá de la mayoría de las amenazas. Los correos de estafa funcionan al dirigirse a las personas: al convencernos de que son reales. Cuando no llegamos a tener contacto con ellos, no serán un problema.

Depende del tipo de estafa y de cuándo te des cuenta de que has sido víctima. Si ya pagaste algo, contacta a tu banco lo antes posible para ver si el pago puede revertirse. Si proporcionaste datos de tu tarjeta, bloquea y cancela la tarjeta afectada. No hay garantías de que recuperes tu dinero, pero sin duda puedes evitar más daños. Cambiar las contraseñas de las cuentas que podrían haberse visto comprometidas también es una buena idea y, si sospechas de un ataque de malware, analiza tus dispositivos.

Las empresas corren más riesgo en cierto sentido: tienen muchos datos en sus sistemas que podrían ser útiles para atacar a otras personas. Al vulnerar el correo electrónico empresarial, potencialmente puedes obtener una gran lista de distribución. Además, en términos de phishing y whaling, existen distintas oportunidades. Por ejemplo, el hecho de que las personas quizá no conozcan personalmente a todos los que les solicitan dinero. Así que los riesgos son ligeramente distintos y probablemente más pronunciados.

La capacitación básica, para que todo el personal sepa cómo son las amenazas por correo electrónico, probablemente sea la mejor medida preventiva. Después, está contar con un buen proveedor de correo electrónico empresarial que ofrezca protecciones como filtros de spam, autenticación de dos factores y actualizaciones sobre amenazas.

Foto de perfil de Jamie Long
Escrito por

Jamie Long

Jamie es un escritor y autor radicado en el Reino Unido que ha trabajado para Spaceship desde sus inicios. También es un músico con formación clásica, con un gran interés en la comedia, y escribe novelas en su tiempo libre.
Más artículos de Jamie Long

Califica este artículo

5/52 Reseñas
Compartir este artículo

Artículos sugeridos

Cómo detener el spam por correo electrónico: tácticas que funcionan
¿Inundado de spam? Esta guía te ayuda a recuperar tu bandeja de entrada y proteger tu seguridad en línea.
Stefania S.
5 min de lectura
Por qué las pequeñas empresas prefieren proveedores de correo electrónico seguro
Elegir el proveedor de correo electrónico seguro adecuado requiere consideración, pero no tiene por qué ser una decisión difícil.
Jamie L.
9 min de lectura
Principales amenazas de seguridad para negocios en línea nuevos y en crecimiento
Descubre los principales tipos de amenazas de seguridad para pequeñas empresas y cómo combatirlas más fácilmente.
Cora Q.
7 min de lectura
La evolución del correo electrónico
Sumérgete en la historia de la evolución del correo electrónico, desde su concepción en los 70 hasta lo que conocemos hoy.
Jamie L.
13 min de lectura

Comentarios (2)

  • Foto de perfil de Lily Simon

    Lily Simon

    9 ago 2025

    Another thing is these scamming companies/businesses have also taken to putting in fake Unsubscribe links. If you see a weird sender like g44tjw9@coldmail.inc, and there's an unsubscribe button/link... They get the most people with that it seems. I know I (before I was knowledgeable of this) used to fall for these to the point my eldest Gmail gets 77 emails a day (more: got. I don't pay attention to it anymore), and only ONE of those are legit. That was how I learnt my mistake.
    Se requieren más de 10 caracteres.
    Tu identidad para mostrar al público.
    Proporcionar su dirección de correo electrónico es opcional. No se compartirá con terceros.
    • Foto de perfil de Olha Nesen. Product and Marketing Coordinator

      Olha Nesen. Product and Marketing Coordinator

      13 ago 2025

      You’re absolutely right — fake “unsubscribe” links are a common trick used in phishing and spam campaigns, and they can be very convincing. Clicking them often confirms to the sender that your address is active, which can lead to even more unwanted messages. We recommend avoiding those links from suspicious senders and using your email provider’s spam or junk reporting tools instead. It’s great that you’ve recognized the pattern — awareness is one of the best defenses against these tactics💪

Comparte tus pensamientos

Se requieren más de 10 caracteres.
Tu identidad para mostrar al público.
Proporcionar su dirección de correo electrónico es opcional. No se compartirá con terceros.

Ayúdanos a mejorar nuestro blog

Comparte tus pensamientos en una encuesta rápida de dos minutos.

Se requiere un correo electrónico válido